Γιατί δεν πρέπει να γνωρίζουμε τους δικούς μας κωδικούς πρόσβασης

Από το 2009, πράκτορες Τελωνείων και Προστασίας των Συνόρων των ΗΠΑ τους επιτράπηκε η αναζήτηση ηλεκτρονικών συσκευών που από τους πολίτες ή μη πολίτες καθώς διασχίζουν τα σύνορα στις Ηνωμένες Πολιτείες από άλλες χώρες. Πιο πρόσφατα, ο υπουργός Εσωτερικής Ασφάλειας John Kelly πρότεινε ότι αυτή η ψηφιακή επαλήθευση πρέπει επίσης να περιλαμβάνει συλλογή κωδικών πρόσβασης στα μέσα κοινωνικής δικτύωσης. Η πρόταση της Kelly ώθησε τους ειδικούς της νομικής και της τεχνολογίας να απαντήσουν με ένα ανοιχτή επιστολή εκφράζοντας βαθιά ανησυχία για κάθε πολιτική που απαιτεί από τα άτομα να παραβιάζουν τον «πρώτο κανόνα της διαδικτυακής ασφάλειας»: Μην κοινοποιείτε τους κωδικούς πρόσβασής σας. Η Συνομιλία

Οι ίδιοι οι ταξιδιώτες απάντησαν επίσης, αναζητούν τρόπους για να αποφύγουν την παράδοση των κωδικών πρόσβασης της συσκευής τους στους ομοσπονδιακούς πράκτορες. Μια προσέγγιση - αυτό που θα μπορούσαμε να ονομάσουμε μέθοδο "Τίποτα για να δείτε εδώ" - προσπαθεί να κάνει μια συσκευή μη αναζήτηση διαγραφή του σκληρού δίσκου πριν από το ταξίδι, απεγκατάσταση εφαρμογών κοινωνικών μέσων, άδεια φόρτισης της μπαταρίας της συσκευής ή ακόμα και σκούπισμα της συσκευής εάν κωδικός έκτακτης ανάγκης ή "εξαναγκασμού" εισήχθη.

Η προσέγγιση "Θα ήθελα να συμμορφωθώ, αλλά δεν μπορώ" περιλαμβάνει εξωτικές λύσεις, όπως την εγκατάσταση ελέγχου ταυτότητας δύο παραγόντων στη συσκευή ή τον λογαριασμό κοινωνικών μέσων και στη συνέχεια τον δεύτερο παράγοντα (όπως κωδικό πρόσβασης ή ψηφιακό κλειδί) διατίθεται μόνο σε απομακρυσμένη τοποθεσία. Η ανάκτηση του δεύτερου συντελεστή θα απαιτούσε ένταλμα και ταξίδι εκτός συνόρων.

Αυτές οι μέθοδοι είναι επικίνδυνες επειδή θέτουν έναν ήδη αγχωμένο ταξιδιώτη στη θέση να αψηφά την επιβολή του νόμου στα σύνορα, α νομικό περιβάλλον που έχει σχεδιαστεί για να στηρίξει την κυβέρνηση και όχι ο ταξιδιώτης. Η σωστή εφαρμογή αυτών των συμβουλών απαιτεί επίσης προσεκτική εκτέλεση τεχνικών δεξιοτήτων που οι περισσότεροι ταξιδιώτες δεν διαθέτουν. Και ο απαιτούμενος εκ των προτέρων προγραμματισμός και προετοιμασία μπορεί να θεωρηθεί ως σημάδι ύποπτης δραστηριότητας που απαιτεί βαθύτερο έλεγχο από τους συνοριακούς υπαλλήλους.

Είναι όμως δελεαστικό να αναρωτιόμαστε: Θα μπορούσαν επιστήμονες υπολογιστών και σχεδιαστές λογισμικού σαν εμένα να δημιουργήσουν ένα καλύτερο σύστημα κωδικού πρόσβασης; Μπορούμε να κάνουμε το "Θα ήθελα να συμμορφωθώ, αλλά δεν μπορώ" τη μόνη δυνατή απάντηση για κάθε ταξιδιώτη; Εν ολίγοις, μπορούμε να δημιουργήσουμε κωδικούς πρόσβασης ακόμη και οι ιδιοκτήτες τους δεν γνωρίζουν;

εσωτερικά εγγραφείτε γραφικό

Η αναζήτηση του άγνωστου κωδικού πρόσβασης

Η ανάπτυξη άγνωστων κωδικών πρόσβασης είναι ένας ενεργός τομέας έρευνας ασφάλειας. Το 2012, μια ομάδα από το Πανεπιστήμιο του Στάνφορντ, το Πανεπιστήμιο Northwestern και το ερευνητικό κέντρο SRI ανέπτυξαν ένα σχέδιο για τη χρήση ενός παιχνιδιού στον υπολογιστή παρόμοιο με το "Guitar Hero" εκπαιδεύστε τον υποσυνείδητο εγκέφαλο να μάθει μια σειρά από πλήκτρα. Όταν ένας μουσικός απομνημονεύει πώς να παίζει ένα κομμάτι μουσικής, δεν χρειάζεται να σκεφτεί κάθε νότα ή ακολουθία. Γίνεται μια ριζωμένη, εκπαιδευμένη αντίδραση που μπορεί να χρησιμοποιηθεί ως κωδικός πρόσβασης, αλλά σχεδόν αδύνατο ακόμη και για τον μουσικό να γράψει σημείωση με σημείωση ή για τον χρήστη να αποκαλύψει γράμμα με γράμμα.

Επιπλέον, το σύστημα έχει σχεδιαστεί έτσι ώστε ακόμη και αν εντοπιστεί ο κωδικός πρόσβασης, ο εισβολέας δεν μπορεί να εισάγει τα πλήκτρα με την ίδια ρευστότητα με τον εκπαιδευμένο χρήστη. Ο συνδυασμός των πληκτρολογήσεων και η ευκολία απόδοσης δένουν μοναδικά τον κωδικό πρόσβασης στον χρήστη, ενώ απαλλάσσουν τον χρήστη από το να χρειάζεται να θυμάται οτιδήποτε συνειδητά.

Δυστυχώς, στο σενάριο ταξιδιού μας στα σύνορα, ο πράκτορας θα μπορούσε να απαιτήσει από τον ταξιδιώτη να ξεκλειδώσει τη συσκευή ή την εφαρμογή χρησιμοποιώντας τον υποσυνείδητο κωδικό πρόσβασης.

Μια ομάδα στο Πολυτεχνικό Πανεπιστήμιο της Καλιφόρνια, Pomona, πρότεινε μια διαφορετική λύση το 2016. Η λύση τους, που ονομάζεται Chill-Pass, μετρά τη μοναδική χημική ανταπόκριση του εγκεφάλου ενός ατόμου ενώ ακούει την επιλογή της για χαλαρωτική μουσική. Αυτή η βιομετρική αντίδραση γίνεται μέρος της διαδικασίας σύνδεσης του χρήστη. Εάν ένας χρήστης είναι υπό πίεση, δεν θα είναι σε θέση να χαλαρώσει αρκετά ώστε να ταιριάζει με την προηγουμένως μετρημένη κατάσταση «ψύξης» και η σύνδεση θα αποτύχει.

Δεν είναι σαφές εάν οι πράκτορες CBP θα ήταν σε θέση να νικήσουν ένα σύστημα όπως το Chill-Pass παρέχοντας στους ταξιδιώτες, ας πούμε, καρέκλες μασάζ και περιποιήσεις σπα. Ακόμα κι έτσι, το άγχος της καθημερινής ζωής θα καθιστούσε ανέφικτη τη χρήση αυτού του είδους κωδικού τακτικά. Ένα σύστημα βασισμένο στη χαλάρωση θα ήταν πιο χρήσιμο για άτομα που αναλαμβάνουν αποστολές υψηλού κινδύνου όπου φοβούνται τον εξαναγκασμό.

Και όπως και με άλλα σχέδια για να καταστήσει αδύνατο τον έλεγχο της CBP, αυτό μπορεί να καταλήξει να προσελκύσει περισσότερη προσοχή σε έναν ταξιδιώτη, αντί να ενθαρρύνει τους αξιωματικούς να εγκαταλείψουν και να προχωρήσουν στο επόμενο άτομο.

Μπορείτε να βαθμολογήσετε ασφάλεια;

Το 2015, η Google ανακοίνωσε Project Abacus, μια άλλη λύση στο πρόβλημα «Θα ήθελα να συμμορφωθώ, αλλά δεν μπορώ». Αντικαθιστά τον παραδοσιακό κωδικό πρόσβασης με ένα "Trust Score", ένα ιδιόκτητο κοκτέιλ χαρακτηριστικών που η Google έχει προσδιορίσει ότι μπορεί να σας αναγνωρίσει. Η βαθμολογία περιλαμβάνει βιομετρικούς παράγοντες όπως τα πρότυπα πληκτρολόγησης, την ταχύτητα βάδισης, τα μοτίβα φωνής και τις εκφράσεις του προσώπου. Και μπορεί να περιλαμβάνει την τοποθεσία σας και άλλα απροσδιόριστα στοιχεία.

Ο υπολογιστής Βαθμολογίας εμπιστοσύνης λειτουργεί συνεχώς στο παρασκήνιο ενός smartphone ή άλλης συσκευής, ενημερώνεται με νέες πληροφορίες και υπολογίζει εκ νέου το σκορ όλη την ημέρα. Εάν η Βαθμολογία εμπιστοσύνης πέσει κάτω από ένα ορισμένο όριο, ας πούμε παρατηρώντας ένα περίεργο μοτίβο πληκτρολόγησης ή μια άγνωστη τοποθεσία, το σύστημα θα απαιτήσει από τον χρήστη να εισαγάγει πρόσθετα διαπιστευτήρια ελέγχου ταυτότητας.

Δεν είναι σαφές πώς ένας έλεγχος ταυτότητας με δείκτη αξιοπιστίας μπορεί να επηρεάσει μια αναζήτηση περιγράμματος. Ένας πράκτορας CBP θα μπορούσε να απαιτήσει από έναν ταξιδιώτη να ξεκλειδώσει τη συσκευή και τις εφαρμογές της. Αλλά αν η εταιρεία δεν μπορούσε να απενεργοποιήσει το σύστημα Trust Score, θα πρέπει να επιτρέπεται στον κάτοχο του τηλεφώνου να κρατά τη συσκευή και να τη χρησιμοποιεί καθ 'όλη τη διάρκεια της επιθεώρησης του πράκτορα. Εάν κάποιος άλλος προσπαθούσε να το χρησιμοποιήσει, το συνεχώς υπολογιζόμενο Trust Score θα μπορούσε να πέσει, αποκλείοντας έναν ερευνητή.

Αυτή η διαδικασία θα διασφάλιζε τουλάχιστον ότι ο ιδιοκτήτης ενός τηλεφώνου γνώριζε τι πληροφορίες συλλέγουν οι ομοσπονδιακοί πράκτορες από το τηλέφωνο. Αυτό δεν ήταν δυνατό για μερικούς ταξιδιώτες που έφταναν, συμπεριλαμβανομένων Αμερικανοί πολίτες, ακόμη και κρατικοί υπάλληλοι.

Αλλά το σύστημα Trust Score θέτει πολύ έλεγχο στα χέρια της Google, μιας κερδοσκοπικής εταιρείας που θα μπορούσε να αποφασίσει-ή θα μπορούσε να αναγκαστεί - να παρέχει στην κυβέρνηση έναν τρόπο να το περιστρέψει.

Και τώρα τι?

Καμία από αυτές τις τεχνολογικές λύσεις στο πρόβλημα κωδικού πρόσβασης δεν είναι τέλεια και καμία από αυτές δεν είναι εμπορικά διαθέσιμη σήμερα. Μέχρι η έρευνα, η βιομηχανία και η καινοτομία να βρουν καλύτερες, τι πρέπει να κάνει ένας ταξιδιώτης ψηφιακής εποχής;

Πρώτον, μην πείτε ψέματα σε έναν ομοσπονδιακό πράκτορα. Είναι ένα κακούργημα και σίγουρα θα προσελκύσει περισσότερη ανεπιθύμητη προσοχή από τους ερευνητές.

Στη συνέχεια, καθορίστε πόση ταλαιπωρία είστε διατεθειμένοι να ανεχτείτε για να παραμείνετε σιωπηλοί ή να αρνηθείτε να συμμορφωθείτε. Η μη συμμόρφωση θα έχει κόστος: Οι συσκευές σας μπορεί να κατασχεθούν και το ταξίδι σας να διαταραχθεί σοβαρά.

Είτε έτσι είτε αλλιώς, εάν και όταν σας ζητηθούν τα χειριστήρια ή οι κωδικοί πρόσβασης στα κοινωνικά μέσα ενημέρωσης ή για να ξεκλειδώσετε τις συσκευές σας, δώστε προσοχή και θυμηθείτε όσες περισσότερες λεπτομέρειες μπορείτε. Στη συνέχεια, αν θέλετε, ειδοποιήστε μια ομάδα ψηφιακών πολιτικών ελευθεριών ότι συνέβη αυτό. Το ronicδρυμα Electronic Frontier διαθέτει μια ιστοσελίδα με οδηγίες για πώς να αναφέρετε μια αναζήτηση συσκευής στα σύνορα.

Εάν πιστεύετε ότι τα ευαίσθητα υλικά μπορεί να έχουν παραβιαστεί στην αναζήτηση, ειδοποιήστε την οικογένεια, τους φίλους και τους συναδέλφους που μπορεί να επηρεαστούν. Και - μέχρι να βρούμε έναν καλύτερο τρόπο - αλλάξτε τους κωδικούς πρόσβασής σας.

Σχετικά με το Συγγραφέας

Megan Squire, Καθηγήτρια Υπολογιστικών Επιστημών, Elon University

Αυτό το άρθρο δημοσιεύθηκε αρχικά στις Η Συνομιλία. Διαβάστε το αρχικό άρθρο.

Σχετικά βιβλία

at InnerSelf Market και Amazon